[Day 242] 파일리스(Fileless) 공격

• 파일리스(Fileless)는 희생자의 컴퓨터 저장장치에 악성 파일을 저장시키지 않고 시스템 메모리에 바로 로드되어 실행되는 것을 의미
• 이 방식을 이용해 실행되는 악성코드를 Fileless Malware라고 함
• HDD와 같은 저장장치에 저장된 파일을 스캔하는 일반적인 방식으로는 파일리스 악성코드를 탐지할 수 없음
• 통상적으로 메모리에 실행 데이터를 저장 후 실행시키기 때문에 최초 실행 후 메모리 초기화나 재부팅을 하면 재공격이 필요함. 하지만 최근에는 희생자 PC에 최소한의 악성파일을 남겨두어 지속적으로 제어권을 획득할 수 있는 발판을 마련함
• 일반적으로 레지스트리, 서비스, 작업 스케쥴러, WMI(Windows Management Instrumentation) 또는 OS 관리 영역을 벗어난 외부에도 저장될 수 있음

 

 

* 출처 : www.igloosec.co.kr/BLOG_Powershell%EC%9D%84%20%EC%9D%B4%EC%9A%A9%ED%95%9C%20%ED%8C%8C%EC%9D%BC%EB%A6%AC%EC%8A%A4%20%EA%B3%B5%EA%B2%A9?searchItem=&searchWord=&bbsCateId=49&gotoPage=1

One Step Ahead 이글루시큐리티